El robo de 2 mil millones de dólares por parte de Corea del Norte: ¿Cómo ocurrió todo? A través del “lavado de dinero” chino.

La escala de la extracción de capital ilícito por parte de Corea del Norte en el año 2025 fue realmente alarmante. Los actores cibernéticos del régimen fueron los responsables de robar ese capital.2.02 mil millones en activos digitalesEl año pasado, esa cifra representó una proporción dominante del total. Ese volumen de ventas fue responsable de…Más de la mitad del total de 2.700 millones de dólares perdidos debido a ataques criptográficos.En general, Corea del Norte se ha convertido en el actor amenazante más sofisticado y con una motivación financiera clara dentro del ecosistema.

Ese no fue un año en el que se utilizaron vulnerabilidades de tipo “protocolo”. La estrategia de los atacantes era clara: buscaban comprometer entidades centralizadas y desarrolladores. El cambio en la forma de ataque, pasando de atacar las infraestructuras de las burbujas a atacar la infraestructura operativa de las billeteras centralizadas y los proveedores de servicios de custodia, permitió obtener sumas enormes de dinero. Esta evolución refleja una estrategia de ataque basada en la explotación de las vulnerabilidades existentes.Es más un “suelo humano” que el propio código en sí.

El flujo de activos robados no se detuvo allí. Los activos robados fueron luego canalizados a través de una compleja red de lavado de dinero, algo que, en realidad, se realizaba en nombre de lo que los investigadores denominan “la lavandería china”. Esta combinación entre el hacking dirigido por el estado y el lavado de dinero a escala industrial es lo que ha convertido a Corea del Norte en el principal atacante de alto valor en el ámbito de las criptomonedas hoy en día.

El vector de ataque: la ingeniería social impulsada por la IA

La cadena de ataques es un engaño preciso y compuesto por varias etapas. Comienza con un sistema comprometido.Cuenta de TelegramSe trata de un ejecutivo legítimo de la industria en cuestión. Después de establecer una buena relación con él, el atacante envía un enlace de Calendly para una reunión de 30 minutos. Ese enlace redirige al sitio web correspondiente.Reunión Zoom engañada, organizada en la infraestructura de un actor amenazante..

La mayor parte de la engaño se lleva a cabo durante la llamada telefónica. A la víctima se le muestra un video en el que aparece un CEO reconocible. Los investigadores estiman que este video podría haber sido generado artificialmente o manipulado con el objetivo de reforzar la legitimidad del atacante. Luego, el atacante afirma que hay problemas de audio y instruye a la víctima a realizar algunas acciones para resolverlos. Este es el engaño de ClickFix: la víctima debe copiar y pegar una serie de comandos en su sistema macOS o Windows.

Una de las órdenes que se ejecutan en esta secuencia inicia la infección. El payload es un malware específico para macOS. Mandiant identificó siete familias de malware diferentes que fueron utilizadas en este ataque, incluyendo herramientas nuevas como WAVESHAPER (la puerta trasera principal del malware), HYPERCALL (un programa para descargar archivos), DEEPBREATH (un programa para robar información de los dispositivos infectados) y CHROMEPUSH (un programa para recopilar datos del navegador). Este método de implementación en múltiples etapas permite el control gradual y la extracción de datos de manera organizada.

Esta campaña representa un claro cambio en el método de trabajo utilizado por UNC1069. El actor ya no utiliza la IA únicamente para mejorar la productividad, como en el caso de la edición de imágenes. Como se documentó en un informe de noviembre de 2025, UNC1069 ha pasado a utilizar nuevas técnicas basadas en la inteligencia artificial en sus operaciones. El uso de videos generados por la IA en una campaña de ingeniería social contra una empresa financiera especializada en criptomonedas es una aplicación directa de este nuevo enfoque más agresivo.

El flujo de lavado de dinero: El “lavadero” chino

Los fondos robados no desaparecen después del ataque cibernético. Se transfieren sistemáticamente a través de una red compleja y de escala industrial para el lavado de dinero. Esta red se conoce como “El Lavatory Chino”. Se trata de un ecosistema muy amplio…Corretores OTC y bancos subterráneosEsos individuos actúan como intermediarios, utilizando múltiples cadenas de bloques y jurisdicciones para lavar los activos ilícitos. El objetivo es cortar el vínculo entre las criptomonedas robadas y su fuente original, asegurando así que los fondos sean completamente ocultados antes de que lleguen al sistema financiero formal.

Esta amenaza constante obliga a las empresas de criptografía a realizar cambios operativos costosos. Los viejos listados de direcciones conocidas como “malas” ya no son suficientes para enfrentarse a este tipo de lavado de activos. Ahora, los equipos de cumplimiento legal deben invertir en herramientas de detección multichain que puedan identificar los complejos patrones de movimiento utilizados por los delincuentes. Este cambio de un enfoque reactivo a uno proactivo representa un aumento significativo en los gastos relacionados con la seguridad operativa.

En resumen, el modelo de lavado de dinero utilizado por Corea del Norte no se trata simplemente de robar cosas; se trata de convertir los bienes robados en dinero, a través de una infraestructura sofisticada y externalizada para la recaudación de fondos. Esto aumenta el costo de hacer negocios en toda la industria, ya que las empresas deben actualizar constantemente sus medidas de defensa para mantenerse al día con los cambios en los métodos de lavado de dinero.